Manuel Statik Analiz — Turla APT (FSB / Rusya) | Tehdit: KRITIK
Datei Kimliği
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Größe | 1.985.024 byte |
| String Sayisi | 691 — son derece şifreli! |
DGA Kelime Zinciri
Nawuya.De -- .de Almanya TLD (zararsız görünüm) -- Turla'nın tipik DGA yaklaşımı: kelime tabanlı domain -- Config string: "Nawuya.De tikajucucehok kaxoz puladaz sunimo yifavend Wuroroxer janimawo duxavicihive" -- Kelime zinciri = DGA "seed" materyali -- Kurgusal Slavca/Latin kökenli kelimeler
Turla APT Hakkında
Turla (Snake, Uroburos, Venomous Bear), Rusya FSB'nin 8. Merkezi'ne atfedilen APT grubudur. 1996'dan beri aktif — dünyanın en eski siber istihbarat operasyonlarından biri. Snake rootkit, Kazuar backdoor, ComRAT ve HyperStack araçlarını kullanır. Uydu internet üzerinden C2 iletişimi gibi benzersiz teknikler uygulamıştır.
IOC
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Nawuya.De (DGA kelime tabanlı) |
Turla — Malware-Profil
Turla APT Snake FSB 1996+. Nawuya.De DGA kelime. Snake/Kazuar/ComRAT. Uydu C2. Dubes 2025 indirme.
Malware-Typ
Backdoor
Programmiersprache
C++
C2-Protokoll
DNS/HTTPS/Satellite
Zielsysteme
Küresel Hükümet/Askeri
Fähigkeiten & Verhalten
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC-Liste (2 Indikatoren)
IOC — Turla
# SHA256
c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
nawuya.de
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | nawuya.de |
C2-Server (1 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| nawuya.de | domain | 443 | HTTPS | inactive | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.